Directorio activo hybrido en Azure

Ambos nombres son equivalentes, describen un atributo que no cambia durante la vida de un objecto. Se trata de identificar de forma única en un entorno local y en Azure AD.

Por defecto se calcula codificando en Base 64 la propiedad objectGUID del servidor local, por ejemplo:

$Usuario = Get-ADuser nombreDeUsuario -Properties * -server localhost
$ImmutableID = [system.convert]::ToBase64String(([GUID]($Usuario.ObjectGUID)).tobytearray())

Realmente no debería cambiarse, pero en ocasiones nos encontramos en la necesidad de hacerlo, bien por una migración de directorio, eliminación de usuarios, replicación con errores… Si en lugar de utilizar el objectGUID utilizariamos un atributo personalizado no tendríamos este problema pero conllevaría la gestión y administración del mismo, si dentro de la empresa cada uno tiene un identificador único personal podría utilizarse para calcular el sourceAnchor.

Esta propiedad se establece durante la instalación inicial, solo si se desinstala correctamente se puede volver a establecer con un valor personalizado, desde la versión 1.1.524.0 se facilita el atributo ms-DS-ConsistencyGuidcomo atributo de los usuarios a utilizar como sourceAnchor.

Podemos visualizar la propiedad actual desde PowerShell:

Import-Module AzureAD
$O365Cred = Get-Credential
$O365Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell -Credential $O365Cred -Authentication Basic -AllowRedirection
Import-PSSession $O365Session
Connect-AzureAD -Credential $O365Cred
Get-AzureADUser -ObjectId [email protected] | Select objectID, UserPrincipalName, ImmutableID

Si bien, en la documentación aparece, la posibilidad de establecer el valor en nulo para desvincular las cuentas creadas localmente de la nube mediante powershell:

Set-AzureADUser -ObjectId [email protected] -ImmutableID $null

No genera ningún resultado ni modificación del objeto, por lo menos a fecha de hoy.

Como alternativa, podemos crear un usuario temporal en nuestro directorio, sincronizar e intercambiar sourceAnchor, asignando otro incorrecto al usuario a eliminar posteriormente.

 

 

Alias de correo electrónico en directorio activo local y Office 365

Si ya hemos realizado la sincronización de usuarios entre nuestro directorio activo local y los servicios cloud de Microsoft en Office 365, es posible que algunas de las cuentas de correo electrónico utilizen alias adicionales al principal.

Desde la consola de administración no es posible realizar los cambios y replicar hacia nuestro directorio en este momento con algunos escenarios de configuración (imagino que a futuro añadirán esta posibilidad), por lo que debemos indicar en nuestro Active Directory manualmente los alias del usuario.

1.- Desde «Usuarios y equipos del directorio Activo» debemos activar la visualización de las «Características avanzadas»

2.- Seleccionamos el usuario al que queremos añadir los alias adicionales de correo, desde la pestaña «Editor de atributos» buscamos la propiedad «proxyAddresses» y vamos añadiendo los alias, de tal forma que «SMTP:[email protected]» en mayúsculas indica la dirección de correo principal y las adicionales deben ir en minúscula «smtp:[email protected]»

Los cambios tardan en replicarse, un mínimo de 30 minutos, segúna la configuración de nuestro conector. Puedes forzar la sincronización para reducir ese tiempo.

Sincronizar contraseñas de Directorio Activo con Office 365 / Azure

Los escenarios de configuración puede ser diversos, en muchos de ellos han ido pasando diferentes administradores con todo lo que ello conlleva. A continuación describiré un escenario simplificado habitual: un directorio activo bajo Windows Server (será necesario actualizar o migrar a 2012 R2 previamente) con un directorio heredado de la empresa con dominio «.local» que debemos sincronizar contraseñas con el correo de Office 365 en Azure.

Lo más habitual es que no todos los usuarios locales tengan cuenta de correo, la compartan, etc. aunque sea esta la tendencia actual en pequeñas empresas.

1.- Descargamos Microsoft Azure Active Directory Connect  y avanzamos en el asistente habitual

2.- En este caso solo vamos a sincronizar contraseñas:

3.- Introducimos las credenciales del usuario administrador de nuestra cuenta Office 365

4.- A continuación las de un usuario con permisos sobre el directorio activo local

5.- En el caso habitual nuestro nombre del directorio local no coincidirá con el del dominio, es posible utilizar para sincronizar otro campo, el más habitual la dirección de email de la cuenta del usuario en el directorio activo local.
NOTA 2022-05-17: en la nueva versión del conector es recomendable tener el UPN del dominio ya configurado antes de continuar con este paso

6.- Utilizaremos la siguiente opción para filtrar y limitar la sincronización en ambas direcciones, crearemos un grupo llamado «CorreoNube» por ejemplo en el que incluimos los usuarios con cuentas en local y correo en Office 365 y pulsamos en Resolver para rellenar automáticamente la cadena

7.- Finalizamos el asistente y acaba la instalación.

En este punto aunque tengamos usuarios dentro del grupo y la sincronización activa y funcionando, no será posible iniciar sesión. En el paso 5 ya nos advertía que no había un dominio en local que fuera igual a los dominios validados en el panel de Office 365. Para corregirlo debemos añadir un nuevo sufijo UPN.

8.- Desde «Dominios y confianzas de Active Directory» pulsamos sobre las propiedades:

9.- Añadimos el nombre de nuestro dominio verificado de Office 365 en la lista, y seleccionamos en la cuenta del usuario:

10.- Ahora si ya podemos utilizar las credenciales en los servicios Cloud, en este caso Office/Outlook y en nuestro ordenador local. Podemos forzar la sincronización en ambos sentidos desde «Syncronization Service Manager»

Si algún usuario posee alias de correo electrónico, debes añadirlas a las propiedades de su cuenta del directorio para sincronizarlas igualmente. Recuerda puede demorar hasta 30 minutos, o puedes forzar a iniciar la sincronización.

Una nube pública segura

El boom alcanzado estos últimos años en los entornos cloud debe ir acompañado de las garantías de seguridad necesarias para el buen funcionamiento y seguridad de la información. Según la normativa ISO/IEC 27018:2014 deben cumplirse y garantizarse varias aspectos a tener en cuenta:

  • El cliente es quien controla sus datos: solo personas autorizadas tienen acceso a la información.
  • Transparencia: conocer donde están alojados los datos, así como cualquier otra tercera empresa que pudiera tener acceso a los data centers, por ejemplo en labores de mantenimiento. En caso de perdida, alteración o revelación de información debe informarse con al información detallada.
  • Alta seguridad: todos los empleados deben cumplir con la mayor confidencialidad asi como los medios técnicos de transmisión sobre redes públicas u otros medios de transporte
  • Tus datos no se usarán para publicidad
  • En caso de petición de un gobierno de acceso a los datos, este debe ser informado
Seguridad Cloud